Versões do veval (versões afetadas não especificadas)

A vulnerabilidade permite a fuga da sandbox, levando à execução remota de código. O pacote veval não restringe o acesso ao contexto principal por meio de this.constructor.constructor. Isso pode permitir que invasores executem código arbitrário no sistema. Por exemplo, avaliar a carga útil this.constructor.constructor(‘return process.env’)() pode imprimir o conteúdo de process.env.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.